Deutsche Unternehmen unterschätzen Compliance-Risiken
Compliance wird zur Überlebensfrage: Eine aktuelle Studie zeigt, wie deutsche Unternehmen Risiken unterschätzen, Regeln ignorieren und mit veralteten Strukturen in eine gefährliche Zukunft steuern – oft ohne es zu merken.
Compliance-Alarm in deutschen Unternehmen: Neue Zahlen zeigen Schwachstellen in Strategie, Führung und Kultur deutscher Unternehmen auf.
(Bild: Jony - stock.adobe.com)
Eine Studie des Risikomanagementunternehmens NAVEX zeigt: Deutsche Unternehmen bewerten ihre eigenen Compliance-Strukturen im Schnitt sehr gut, obwohl mehr als ein Drittel der Befragten in den letzten drei Jahren von Sicherheitsverletzungen betroffen war. Durch veraltete Strukturen und eine unzureichende Priorisierung können viele Betriebe den zunehmenden Anforderungen und Vorschriften des Risikomanagements nur schwer gerecht werden. Oliver Riehl, Regional Vice President Sales bei NAVEX, erläutert, wie ein Wandel der Firmenkultur und neue Technologien die Compliance in Deutschland nachhaltig prägen können.
Eine aktuelle Umfrage von NAVEX zeigt, dass mehr als ein Drittel der deutschen Unternehmen in den vergangenen drei Jahren Datenschutz- und Cybersicherheitsverletzungen erlebt hat. Dennoch stufen rund 60 Prozent ihre eigenen Risiko- und Compliance-Programme auf eine der beiden höchsten Stufen einer fünfstufigen Skala ein – anstatt Alarm zu schlagen. „Schwächen im Risiko- und Compliance-Management werden häufig durch das Fehlen einer Speak-up-Kultur verschärft. Wenn Mitarbeitende Verstöße nicht melden, werden Lücken zu spät oder gar nicht erkannt. Das kann zu einem trügerischen Sicherheitsgefühl führen“, erklärt Oliver Riehl, Regional Vice President Sales bei NAVEX. Unzureichende Prävention und fehlende Krisenstrategien können selbst für marktstabile Unternehmen innerhalb kürzester Zeit eine existenzielle Bedrohung darstellen.
"Schwächen im Risiko- und Compliance-Management werden häufig durch das Fehlen einer Speak-up-Kultur verschärft. Wenn Mitarbeitende Verstöße nicht melden, werden Lücken zu spät oder gar nicht erkannt. Das kann zu einem trügerischen Sicherheitsgefühl führen“, erklärt Oliver Riehl, Regional Vice President Sales bei NAVEX.
Deutsche Wirtschaft ist überfordert mit Regularien
Trotz dieser alarmierenden Statistiken verlassen sich viele Betriebe bis heute auf bestehende, scheinbar solide Strukturen, anstatt diese weiterzuentwickeln. Währenddessen steigt der regulatorische Druck. Laut der NAVEX-Studie ist fast jeder dritte deutsche Betrieb mit der Umsetzung von EU-Vorschriften wie der Corporate Sustainability Due Diligence Directive (CSDDD), dem AI-Act oder der Hinweisgeberrichtlinie überfordert.
Denn analog zur Zahl der Richtlinien wächst auch der Zuständigkeitsbereich von Compliance-Programmen exponentiell. Dieser kann oft nicht mehr durch die bisherigen Strukturen abgebildet werden. Riehl weiß: „Risikomanagement wird zunehmend zu einer gemeinsamen Verantwortung aller Mitarbeitenden. Betriebe sollten deswegen vermehrt in Weiterbildung investieren und eine vertrauensvolle Unternehmenskultur fördern.“
5 vs. 50: Wie Führungslücken die Compliance schwächen
Ein wesentlicher Faktor, der die Entwicklung einer ethischen Unternehmenskultur behindert, ist das fehlende Engagement und die mangelnde Unterstützung durch das Top-Management. Zwar geben die meisten befragten Unternehmen an, dass ihre Führung die Einhaltung von Regeln und Vorschriften fördert. Doch die beiden am häufigsten genannten Hindernisse für ein wirksames Risikomanagement sind eine geringe Priorisierung des Themas sowie fehlender Rückhalt durch die Unternehmensleitung.
Laut der NAVEX-Umfrage erhielten im Jahr 2025 lediglich 60 Prozent der deutschen Aufsichtsgremien regelmäßige Berichte zu Compliance-Themen. Nur 26 Prozent setzten sich intensiv mit dem Thema auseinander. Besonders alarmierend: Nahezu 30 Prozent der Befragten berichteten, dass ihre Führungskräfte sogar unethische Methoden zur Erreichung geschäftlicher Ziele ermutigt oder die Arbeit von Compliance-Verantwortlichen aktiv behindert haben. „Es besteht immer die Gefahr, dass Führungskräfte kurzfristige Erfolge höher gewichten. Sie wollen, dass das Unternehmen in den nächsten fünf Jahren gut performt – übersehen dabei aber Risiken, die später erheblichen Schaden anrichten können. In kritischen Situationen entscheidet das Risikomanagement darüber, wer in zehn oder sogar fünfzig Jahren noch am Markt ist – und wer nicht“, erklärt Riehl.
Offener Austausch schafft Bewusstsein für Compliance
Um langfristig widerstandsfähig zu bleiben, ist ein Bewusstseinswandel in der deutschen Wirtschaft erforderlich: Entscheider müssen die Bedeutung einer konstruktiven Meldekultur erkennen. Wesentlich dafür ist ein intensiverer Austausch zwischen Unternehmen. Riehl betont: „Organisationen sollten offener über ihre Erfahrungen sprechen und bewährte Praktiken miteinander teilen. Dadurch entsteht ein gemeinsames Verständnis dafür, dass Präventionsmaßnahmen nicht nur Risiken reduzieren, sondern auch langfristigen Erfolg sichern.“
Welche Rolle spielt KI in der Compliance-Zukunft?
Der NAVEX-Report lässt zudem darauf schließen, dass neben Unternehmenskultur und Führung auch technologische Entwicklungen den Kurs der Compliance in Deutschland prägen werden. Mehr als die Hälfte der befragten Organisationen setzt bereits zweckgebundene Software in zentralen Bereichen ein. „Plattformen wie NAVEX One können helfen, den Überblick über interne Bedrohungen zu behalten, das Fallmanagement zu vereinfachen und eine zeitgerechte Nachverfolgung der Fälle sicherzustellen“, erläutert Oliver Riehl.
Auch der Einsatz von künstlicher Intelligenz gewinnt an strategischer Bedeutung: Knapp ein Drittel der Firmen bezeichnet KI als äußerst wichtig für die Compliance-Arbeit. Gleichzeitig bestehen erhebliche Bedenken: Fast 40 Prozent sehen die Gefahr verpasster regulatorischer Änderungen, mehr als ein Drittel bemängeln fehlende Risikosichtbarkeit, fast 30 Prozent verzeichnen Lücken in der Umsetzung von Kontrollmechanismen.
„Neue Technologien wie KI bieten enorme Chancen für effizientere Prozesse. Das gilt aber nur, wenn sie eng mit klaren Richtlinien, kontinuierlichem Monitoring und bereichsübergreifender Steuerung verknüpft werden“, sagt Oliver Riehl. „So wird Technologie vom reinen Werkzeug zum strategischen Hebel: Unternehmen, die jetzt Software-Integration und eine gesunde Meldekultur konsequent umsetzen, schaffen die Basis für ein zukunftsfähiges GRC-Management.“
Aktuelle Meldungen aus der Industrie
Energiekrise, Lieferengpässe, Fachkräftemangel: Die Industrie steht vor vielen Herausforderungen. Alle Meldungen aus Maschinenbau und Co finden Sie in unserem News-Blog. Hier klicken!
Wo liegen die blinden Flecken beim Lieferkettenschutz?
Entscheidungsträger sollten sich jedoch nicht ausschließlich auf neue Technologien konzentrieren. Auch Themen wie die Überwachung von Lieferketten rücken 2026 stärker in den Fokus. Aktuelle Entwicklungen – etwa die Anpassung des deutschen Lieferkettensorgfaltspflichtengesetzes (LkSG) an die noch nicht endgültig verabschiedete EU-Richtlinie CSDDD – verlangen von Unternehmen zunehmend, Fehlverhalten systematisch zu erkennen.
Doch auch hier zeigt der NAVEX-Report erhebliche Defizite: Nur 37 Prozent der befragten deutschen Unternehmen gaben an, ihre Lieferanten systematisch im Hinblick auf Menschenrechte zu überprüfen. In Bezug auf ESG-Ausrichtung und Transparenz sind es lediglich ein Drittel der Befragten, die entsprechende Prüfungen durchführen. „Wir müssen uns von der Vorstellung verabschieden, dass es ein einziges größtes Risikofeld gibt. Wer sich ausschließlich auf Technologie fokussiert, läuft Gefahr, andere Risiken zu übersehen. Entscheidend ist ein ganzheitlicher Blick. Nur wer alle relevanten Bereiche im Auge behält, kann Risiken wirksam minimieren“, resümiert Riehl.
NAVEX in Kürze
NAVEX ist ein weltweit führende Anbieter von Lösungen im Bereich Risiko- und Compliance-Management und genießt das Vertrauen von über 13.000 Organisationen – darunter 70 Prozent der Unternehmen aus den Fortune 100 und 500. Die Plattform NAVEX One stärkt Risiko- und Compliance-Programme und unterstützt Organisationen mit einzigartigen Branchen-Benchmark-Daten und fundierten Einblicken. NAVEX One bietet einen ganzheitlichen 360-Grad-Blick auf Risiken innerhalb des Unternehmens, bei Drittparteien und im gesamten Ökosystem – für mehr regulatorische Sicherheit und ein proaktives Risikomanagement.
Das Unternehmen mit Hauptsitz in Lake Oswego, Oregon, ist weltweit aktiv und gestaltet die Zukunft von Governance, Risk und Compliance maßgeblich mit.
FAQ: Risiko- und Compliance-Management 2025 – Erkenntnisse aus der NAVEX-Studie
1. Wie häufig sind Datenschutz- und Cybersicherheitsverletzungen in deutschen Unternehmen?
Mehr als ein Drittel der deutschen Unternehmen hat in den vergangenen drei Jahren eine Datenschutz- oder Cybersicherheitsverletzung erlebt. Trotzdem bewerten rund 60 Prozent ihre eigenen Risiko- und Compliance-Programme als überdurchschnittlich stark – was auf ein gefährlich verzerrtes Selbstbild schließen lässt.
2. Warum erkennen viele Unternehmen ihre Schwachstellen nicht rechtzeitig?
Ein entscheidender Faktor ist das Fehlen einer Speak-up-Kultur. Wenn Mitarbeitende Verstöße aus Angst oder Misstrauen nicht melden, bleiben Risiken unentdeckt. Das führt zu einem trügerischen Sicherheitsgefühl und schwächt die Fähigkeit zur Früherkennung.
3. Welche Rolle spielt die Unternehmensführung bei der Compliance?
Führungskräfte haben einen enormen Einfluss: Fehlendes Engagement oder mangelnde Priorisierung gehören laut Studie zu den größten Hindernissen im Risikomanagement. Besonders kritisch: Fast 30 Prozent der Befragten berichten, dass Führungskräfte unethische Praktiken dulden oder fördern.
4. Wie steht es um die Berichtspflicht und das Bewusstsein der Aufsichtsgremien?
Nur 60 Prozent der Aufsichtsgremien in Deutschland erhalten regelmäßig Berichte zu Compliance-Themen. Lediglich 26 Prozent setzen sich intensiv damit auseinander – ein klares Zeichen für fehlende Governance-Disziplin an der Unternehmensspitze.
5. Welche regulatorischen Herausforderungen überfordern deutsche Unternehmen derzeit?
Fastjeder dritte Betrieb kämpft mit der Umsetzung komplexer EU-Vorgaben wie der
Die zunehmende Zahl an Richtlinien führt dazu, dass klassische Compliance-Strukturen überlastet sind.
6. Wie wichtig ist Weiterbildung für ein wirksames Risikomanagement?
NAVEX empfiehlt, Risikomanagement als gemeinsame Verantwortung zu verstehen. Unternehmen sollten gezielt in Schulungen und Awareness-Programme investieren, um eine vertrauensvolle, informierte Unternehmenskultur aufzubauen.
7. Welche Rolle spielt Künstliche Intelligenz (KI) in der Compliance-Arbeit?
Knapp ein Drittel der Befragten sieht KI als wichtigen Compliance-Treiber, etwa durch automatisiertes Monitoring und effizientere Fallbearbeitung. Doch 40 % befürchten verpasste regulatorische Änderungen, und 30 Prozent beklagen fehlende Kontrolle über KI-gestützte Prozesse.
→ Fazit: KI ist nur dann ein Vorteil, wenn sie mit klaren Richtlinien und Monitoring verknüpft wird.
8. Wie kann Technologie die Compliance-Arbeit unterstützen?
Tools wie NAVEX One helfen, interne Bedrohungen zu erkennen, das Fallmanagement zu vereinfachen und Transparenz über den gesamten Prozess zu schaffen. Damit wird Technologie zum strategischen Hebel – nicht nur zum Werkzeug.
9. Wo bestehen aktuell die größten Defizite in Lieferketten- und ESG-Compliance?
Nur37 Prozent der Unternehmen prüfen ihre Lieferanten systematisch auf Menschenrechte. Bei ESG-Transparenz liegt die Quote sogar nur bei rund einem Drittel. Besonders angesichts des angepassten Lieferkettensorgfaltspflichtengesetzes (LkSG) ist das ein erheblicher Handlungsbedarf.
10. Was bedeutet 'ganzheitliches Risikomanagement' im Jahr 2025?
Unternehmen müssen lernen, alle Risikoebenen integriert zu betrachten – technologische, organisatorische, kulturelle und regulatorische. Wer sich nur auf Einzelbereiche (z. B. Cybersecurity oder KI) konzentriert, übersieht andere Bedrohungen. Oliver Riehl fasst es so zusammen „Entscheidend ist ein ganzheitlicher Blick. Nur wer alle relevanten Bereiche im Auge behält, kann Risiken wirksam minimieren.“
